Как сделать проверку капча при входе в админку?

Dimys1 02.01.2015 Все вопросы » Общие вопросы 4060

вопрос

Такая проблема, каждый день брутит админку какой-то человечек. В день по раз 40 наверное он пытается подобрать пароль, бан IP адресов ничего не дает, а ограничение по IP я поставиь не могу потому что я не смогу потом попасть в свой аккаунт. Спросите почему? Потому что хостер посчитал что нужно защитить сервак таким образом что всем пользователям сайта присваивались одинаковые IP адреса. Эту проблему решило подключение к сервису CloudFlare - сервис по защите от ддосов, но дело в том что теперь юзерам присваиваются IP этого сервиса(( Я придумал примитивную защиту - вывод капчи при авторизации в админпанеле, но как это сделать по коду я не знаю, хотелось бы услышать от знающих кодеров советы, или готовую реализацию. Заранее спасибо)

Ответа пока нет

8 комментариев

Юзер

102

RadarWeb - 2015-01-022 января 2015 23:17 - #39131

Делаешь подмену админки на фейковую страницу которая записывает ИП пытающегося войти, админку уводишь на другой адрес и радуешься. Фейковая админка есть на этом сайте - надо немного поискать - я выкладывал

Юзер

Dimys1 - 2015-01-022 января 2015 23:26 - #39132

Проблема в том что оригинальную админку могут найти, т.к. я подозреваю что брутом занимается наш администратор которого пришлось выгнать за то что он не выполнял свои обязанности и творил всякую фигню на сайте. У него остались знакомые модераторы на моем сайте и я думаю написав им ЛС он сможет спросить адрес валидной админки и все начнется заново + я говорю что Банить IP мне нельзя ибо это адреса самого CloudFlare а значит выдав такой адрес другому человеку тот будет удивлен что сайт не доступен))

Юзер

301

Kolya groza morey - 2015-01-023 января 2015 09:47 - #39135

Цитата: Dimys1

У него остались знакомые модераторы на моем сайте и я думаю написав им ЛС он сможет спросить адрес валидной админки

Тогда нужно начать с крупной зачисти кадров

Юзер

Dimys1 - 2015-01-022 января 2015 23:26 - #39133

Я просто хочу затруднить брутфорс, бань, не бань, есть прокси которыми человек спокойно может воспользоваться и продолжить гадить(

Местный

425

Serik - 2015-01-023 января 2015 09:14 - #39134

В настройках безопасности есть пункт "Максимальное количество ошибочных авторизаций" . Ставите "1" .

Можно ещё и время с 20 минут на 200 поменять...

СПАСИБО надо тыкать в кнопку!

Юзер

Dimys1 - 2015-01-023 января 2015 10:03 - #39136

1. Имя админки менял, но т.к. есть знакомые смысла не вижу постоянно менять.
2. Если я выставлю количество ошибочных авторизаций 1 я буду постоянно забанен на 20 минут (причину объяснял)
3. Зачистив кажры у меня не останется работников, которые будут наполнять сайт)
Я считаю что брутят примитивным ботом который не сможет обойти каптчу, на крайняк хотелось бы поставить каптчу с сборкой изображений. чтобы с помощью антигейта ее обойти не смогли.

Юзер

Dimys1 - 2015-01-023 января 2015 10:06 - #39137

Думаю реализовать такую штуку, если не найду ответ на свой вопрос)

Для реализации этого способа необходимо придумайть себе "еще" один логин и пароль для входа в админку. Второй логин и пароль должен в корне отличаться от первого (чтобы исключить вариант подбора пароля и пароля). Не нужно регистрировать "второй логин и пароль" на сайте.

Заходим на сайт md5encryption.com, в пустое поле вставляем наш второй выдуманный пасс и жмакаем кнопку "Ecrypt It!". На выходе получаем пароль в кодировке md5.
1) Открываем файл admin.php и после строк

================================================== ===
Файл: admin.php
-----------------------------------------------------
Назначение: админпанель
================================================== ===
*/

Добавляем:

$login="ваш_придуманый_второй_логин";
$password="второй пароль в кодировке md5";
if (!isset($_SERVER['PHP_AUTH_USER']) || $_SERVER['PHP_AUTH_USER']!==$login || md5($_SERVER['PHP_AUTH_PW'])!==$password) {
header('WWW-Authenticate: Basic realm="Admin Panel"');
header('HTTP/1.0 401 Unauthorized');
exit("Access Denied");}

2) Сохраняем результат на сервере и идём в админку. Теперь для входа в админку нужно будет пройти двойную авторизацию. Первая панель авторизации от DLE , а вторая добавлена вами.

Установка закончена !

PHP-developer

1783

Sander - 2015-01-024 января 2015 14:25 - #39179

Тогда уж вам надо не только админку защищать, но и сам сайт. У сайта и у админки единая авторизация.
Т.е. ему нет разницы куда пароль подбирать.

PS. Не понимаю в чем смысл вешать всех посетителей на 1 IP. Это же куча неудобств...
Да и о какой защите может идти речь, если нет возможности различать посетителей. Нет возможности заблокировать злоумышленника.

SanDev.pro - мой блог.

Telegram: @sandev
Skype: Sander8804

Jigurda | Как в description вставить значение доп. ... ²

Jigurda
Как в description вставить значение доп.поля?
Сегодня, 10:54

Немного не то. Нужно не заменить, а добавить к уже имеющемуся description свой текст с доп.полями
lutskboy | Как в description вставить значение доп. ... ²

lutskboy
Как в description вставить значение доп.поля?
Вчера, 21:51

https://sandev.pro/web/159-fullstory-metatags-by-sander.html

derebas | Как реализовать кнопку "Поделиться" как ... ¹

derebas
Как реализовать кнопку "Поделиться" как на Плей Маркете?
Вчера, 09:39

Ну если на скорую руку то примерно так

<style>
.sociallinks {
    display: none;
    position: fixed;
    z-index: 999;
    left: 0;
    top: 0;
    width: 100%;
    height: 100%;
    overflow: auto;
    background-color: rgba(0,0,0,0.4);
}

.sociallinks-content {
    background-color: #fefefe;
    margin: auto;
    padding: 20px;
    border: 1px solid #888;
    width: 80%;
    max-width: 500px;
    border-radius: 10px;
    position: absolute;
    left: 50%;
    top: 50%;
    transform: translate(-50%, -50%);
}

.close {
    color: #aaa;
    position: absolute;
    top: 10px;
    right: 10px;
    font-size: 28px;
    font-weight: bold;
}

.close:hover,
.close:focus {
    color: black;
    text-decoration: none;
    cursor: pointer;
}

.social-container {
    display: flex;
    align-items: center;
}
.social-container > div {
    margin-left: 10px;
}

h2, p {
    margin: 5px 0;
}
.social {
  padding-top: 20px;
}
.social img {
  margin: 10px;
}
.sharebtn {
  padding-top: 20px;
  width: 100%;
}
.sharebtn_area {
  border: 1px solid black;
  height: 40px;
}
.sharebtn input[type="text"] {
  width: 70%;
  border: none;
  height: 95%;
}
.sharebtn button {
  width: 25%;
  height: 95%;
  border: none;
  background-color: #fff;
}
</style>
<button id="opensociallinksBtn">Поделиться</button>

<div id="mysociallinks" class="sociallinks">
  <div class="sociallinks-content">
    <span class="close">×</span>
    <div class="social-container">
        <img src="{image-1}" alt="Icon" width="30" height="30">
        <div>
            <h2>{title}</h2> 
            <p>Поделиться</p> 
        </div>
    </div>
    <div class="social">
        <a href="https://api.whatsapp.com/send/?text={full-link}"><img src="whatsapp.png" alt="WhatsApp" width="30" height="30"></a>
        <a href="https://www.facebook.com/sharer/sharer.php?u={full-link}"><img src="facebook.png" alt="Facebook" width="30" height="30"></a>
        <a href="https://twitter.com/intent/post?url={full-link}"><img src="twitter.png" alt="Twitter" width="30" height="30"></a>
        <a href="https://www.instagram.com/share?url={full-link}"><img src="instagram.png" alt="Instagram" width="30" height="30"></a>
    </div>
    <div class="sharebtn">
      <div class="sharebtn_area">
        <input type="text" id="inputText" value="{full-link}" readonly="true">
        <button id="copyBtn">Поделиться <img src="share.png" width="10px" alt="Share Icon"></button>
      </div>
    </div>
  </div>
</div>

<script>
var sociallinks = document.getElementById("mysociallinks");
var opensociallinksBtn = document.getElementById("opensociallinksBtn");
var closeBtn = document.getElementsByClassName("close")[0];
var copyBtn = document.getElementById("copyBtn");
var inputText = document.getElementById("inputText");

opensociallinksBtn.onclick = function() {
  sociallinks.style.display = "block";
}

closeBtn.onclick = function() {
  sociallinks.style.display = "none";
}

window.onclick = function(event) {
  if (event.target == sociallinks) {
    sociallinks.style.display = "none";
  }
}

copyBtn.onclick = function() {
  inputText.select();
  document.execCommand("copy");
}
</script>

doktorpull | GeoIP - показ информации в зависимости о ... ¹

doktorpull
GeoIP - показ информации в зависимости от страны посетителя сайта
17-04-2024, 21:53

Отличный модуль, хорошо работает. Рекомендую этого автора, так как заказывал у него несколько собственных разработок. Человек знает свое дело.
Gordi | Telegram Sender ¹²

Gordi
Telegram Sender
16-04-2024, 15:47

купил. Модуль классный! Автору большая признательность!
TeraMoune | Как вывести тайтл и дискрипшен по маске ... ¹

TeraMoune
Как вывести тайтл и дискрипшен по маске в категориях?
14-04-2024, 00:36

Ну например вот так: https://lazydev.pro/product/12-dle-seo.html
zawibis | Как настроить редирект на внешние сайты? ¹

zawibis
Как настроить редирект на внешние сайты?
13-04-2024, 14:53

Нашёлся ответ.
Нужно в настройках группы отключить параметр

Автоматическая замена ссылок [url] в тег [leech]
При включении данной опции все ссылки, которые пользователь публикует в теге [url], будут автоматически заменены на защищенные ссылки тега [leech]
TeraMoune | Как решить проблему с /xfsearch/значение ... ⁵

TeraMoune
Как решить проблему с /xfsearch/значение?
12-04-2024, 11:53

Это не прикол, просто dle позволяет искать новости как по значению так и с указанием конкретного поля для этого значения. И если у вас стоят метрики на сайте то достаточно любому человеку открыть ссылку и убрать в ней что-то, если сайт при новом url вернёт статус 200 то метрики захотят этот url запомнить.
komosa | Как решить проблему с /xfsearch/значение ... ⁵

komosa
Как решить проблему с /xfsearch/значение?
11-04-2024, 22:34

А вот прикол то в том, что это коснулось только author
lutskboy | Как решить проблему с /xfsearch/значение ... ⁵

lutskboy
Как решить проблему с /xfsearch/значение?
11-04-2024, 22:31

может быть не один только author. и другие поля. как знать куда перенаправлять